一种面向工业网络入侵检测的数据表征方法
2022-11-02 10:00:09   来源：    点击：

摘要∶

[目的/意义]越来越多的网络攻击事件表明，工业互联网早已成为网络世界攻击的靶标。工业网络流量数据的最小单位为流量包，网络流量包是一个个孤立的包，单独的包无法体现网络的流量行为特征。因此，采用简单、高效的流量数据组织粒度，合理地表达工业网络流量的行为特征，是工业网络入侵检测中的重要环节。目前，有4个公开的工业网络安全数据集用于训练和评估基于深度学习(DL)算法的网络流量安全检测模型，即UNSW-NB15、BoT-IoT、ToN-IoT和CSE-CIC-IDS2018。他们由不同的特征集组成，基于这些数据集对工业网络流量进行入侵检测时的性能往往不可靠。

[方法/过程]基于网络会话流的粒度提出了一个通用的特征提取方法，用于对未来工业网络安全数据集构建标准的数据表征，以此提高基于DL的工业网络安全入侵检测模型的准确性和泛化性。

[结果/结论]通用数据表征方法将新生成的数据集称为NF-UNSW-NB15-TD、NF-BoT-IoT-TD、NF-ToN-IoT-TD、NF-CSE-CIC-IDS2018-TD和NF-UQ-NIDS-TD。使用CNN-LSTM-Attention模型将他们的性能与各自的原始数据集进行比较。结果表明，使用表征方法构建的数据集，使得工业网络威胁检测精度和模型泛化能力有了很大的提高。